从 Windows Server 2022 开始,DNS 客户端支持 DNS over-HTTPS (DoH) 。 启用 DoH 后,Windows服务器的 DNS 客户端和 DNS 服务器之间的 DNS 查询会通过安全的 HTTPS 连接而不是纯 ’ 文本传递。 通过跨加密连接传递 DNS 查询,防止不受信任的第三方拦截该DNS查询。
如果Windows主 DNS 服务器或辅助 DNS 服务器位于已知 DoH 服务器列表中,则只能将 Windows 服务器客户端配置为使用 DoH。 可以将 DNS 客户端配置为需要 DoH、请求 DoH 或仅使用传统的纯文本 DNS 查询。
从Windows11开始,已经支持查看DNS是否支持加密。手动配置IP时,DNS设置还未开启选择是否加密选项,默认是仅未加密:
配置DNS时,客户端支持选择三种方式:
1,仅通过 HTTPS (加密 DNS) 。 选择此设置后,所有 DNS 查询流量都将通过 HTTPS 传递。 此设置为 DNS 查询流量提供最佳保护。 但是,这也意味着如果目标 DNS 服务器无法支持 DoH 查询,则不会发生 DNS 解析。
2,加密的首选、未加密的允许。 选择此设置后,DNS 客户端将尝试使用 DoH,然后回退到未加密的 DNS 查询(如果无法这样做)。 此设置为支持 DoH 的 DNS 服务器提供最佳兼容性,但如果 DNS 查询从 DoH 切换到纯文本,则不会提供任何通知。
3,仅未加密。 到指定 DNS 服务器的所有 DNS 查询流量都是未加密的。 此设置将 DNS 客户端配置为使用传统的纯文本 DNS 查询。
从以上可选项来看,选择是相对灵活的。
还可以通过powershell查询那些DNS服务器已经支持:
Get-DnsClientDohServerAddress
不得不说,DNS的安全,已经越来越被重视,而且开始摆脱第三方的DNS安全服务,windows 要建立自己的DNS安全防线了。